Comment résoudre les adresses mac incorrectes utilisées sur le trafic exclu GlobalProtect

Comment résoudre les adresses mac incorrectes utilisées sur le trafic exclu GlobalProtect

5077
Created On 04/29/22 21:56 PM - Last Modified 05/29/25 03:23 AM


Environment


  •  GlobalProtect (GP) App 5.1+ Utilisation de l’exclusion basée sur le domaine
  • Hôtes Windows configurés avec le service Routage et accès distant (RRAS)
  • Requin fil

Procedure


Pour valider si vous rencontrez le problème, vous pouvez effectuer les étapes suivantes :
  1. Installez le Wireshark app
  2. Connectez-vous à GP la journalisation au niveau du vidage et activez-la en accédant au Appmenu de > Paramètres > Dépannage > niveau de journalisation : Videz et quittez le app 
  3. Lancez Wireshark et activez la capture sur les GP cartes physiques et physiques (vous pouvez vérifier leur convention de dénomination à l’aide de l’invite de commande comme indiqué ci-dessous):
Snapshot affichant la sortie ipconfig /all dans une fenêtre d’invite de commandes Windows
 
  1. Accédez à l'URL inaccessible lorsque vous êtes connecté au GP VPN et notez l'horodatage
  2. Après avoir répliqué le problème, arrêtez la capture Wireshark, puis générez les journaux en accédant à Paramètres de > du menu > Dépannage > Collecter les journaux GP
  3. Vérifiez le trafic de domaine correctement exclu en consultant le App GPS fichier journal pour les journaux similaires à ceux ci-dessous :
(T15964)Dump (  91): 04/26/22 17:09:04:899 Received DNS request for <DOMAIN NAME>  with type 1
(T15964)Dump (1259): 04/26/22 17:09:04:899 Domain name <DOMAIN NAME> matches exclude single domain in hash table
(T15964)Dump ( 504): 04/26/22 17:09:04:899 SP added an exclude ip <DOMAIN IP>, port 0, ttl 60 for domain <DOMAIN NAME>, original ttl=60, infinite ttl=no
(T15964)Dump ( 504): 04/26/22 17:09:04:899 SP added an exclude ip <DOMAIN IP>, port 0, ttl 60 for domain <DOMAIN NAME>, original ttl=60, infinite ttl=no
(T15964)Dump ( 536): 04/26/22 17:09:04:899 call SPSetParameters to set 2 exclude IPs
(T15964)Dump ( 264): 04/26/22 17:09:04:899 original iTimeOut=60, new iTimeOut=120
(T15964)Dump ( 268): 04/26/22 17:09:04:899 iTimeOut=120
(T15964)Dump ( 873): 04/26/22 17:09:04:899 ST,argc=6
(T15964)Dump (2088): 04/26/22 17:09:04:899 ST,shouldCacheCommand return false
(T15964)Dump (1351): 04/26/22 17:09:04:899 ST,remote ip address is <DOMAIN IP>, port=0, bind local address is <PHY ADAPTER IP>
(T15964)Dump ( 248): 04/26/22 17:09:04:899 ST,create file to \\.\symgpproxy success, file handle is 0000000000000B14
(T15964)Dump (1383): 04/26/22 17:09:04:899 ST,new domain port is 0, 5 ip set
(T15964)Dump ( 262): 04/26/22 17:09:04:899 ST,WriteFile return 0
(T15964)Dump ( 265): 04/26/22 17:09:04:899 ST,lasterror is 997
(T15964)Dump ( 267): 04/26/22 17:09:04:899 ST,lasterror is ERROR_IO_PENDING
(T15964)Dump ( 269): 04/26/22 17:09:04:899 ST,write success
(T15964)Dump (1402): 04/26/22 17:09:04:899 ST,create time task 6, delay 120 seconds
(T15964)Dump (1411): 04/26/22 17:09:04:899 ST,task for <DOMAIN IP> already exist, increase counter
(T15964)Dump ( 283): 04/26/22 17:09:04:899 ST,close file handle 0000000000000B14
(T15964)Dump ( 264): 04/26/22 17:09:04:899 original iTimeOut=60, new iTimeOut=120
(T15964)Dump ( 268): 04/26/22 17:09:04:899 iTimeOut=120
(T15964)Dump ( 873): 04/26/22 17:09:04:899 ST,argc=6
(T15964)Dump (2088): 04/26/22 17:09:04:899 ST,shouldCacheCommand return false
(T15964)Dump (1351): 04/26/22 17:09:04:899 ST,remote ip address is <DOMAIN IP>, port=0, bind local address is <PHY ADAPTER IP>
(T15964)Dump ( 248): 04/26/22 17:09:04:899 ST,create file to \\.\symgpproxy success, file handle is 0000000000000BC0
(T15964)Dump (1383): 04/26/22 17:09:04:899 ST,new domain port is 0, 6 ip set
(T15964)Dump ( 262): 04/26/22 17:09:04:900 ST,WriteFile return 0
(T15964)Dump ( 265): 04/26/22 17:09:04:900 ST,lasterror is 997
(T15964)Dump ( 267): 04/26/22 17:09:04:900 ST,lasterror is ERROR_IO_PENDING
(T15964)Dump ( 269): 04/26/22 17:09:04:900 ST,write success
(T15964)Dump (1402): 04/26/22 17:09:04:900 ST,create time task 7, delay 120 seconds
(T15964)Dump (1411): 04/26/22 17:09:04:900 ST,task for <DOMAIN IP> already exist, increase counter
(T15964)Dump ( 283): 04/26/22 17:09:04:900 ST,close file handle 0000000000000BC0 
 
  1. Au fur et à mesure que vous continuez à suivre les journaux, vous devriez immédiatement rencontrer des entrées indiquant que le trafic a été ignoré comme indiqué ci-dessous:
(T15548)Dump (1330): 04/26/22 17:09:04:903 Received an IP packet with a non-tunnel source IP <PHY ADAPTER IP>
(T15548)Dump (1553): 04/26/22 17:09:04:903 the packet received from virtual interface is discarded
(T15548)Dump (1330): 04/26/22 17:09:04:905 Received an IP packet with a non-tunnel source IP <PHY ADAPTER IP>
(T15548)Dump (1553): 04/26/22 17:09:04:905 the packet received from virtual interface is discarded
 
  1. Ouvrez la capture Wireshark et isolez le trafic de test vers le domaine noté à l’aide du filtre de votre choix
Remarque: Dans notre exemple, nous avons utilisé les adresses IP fournies par les GP journaux pour filtrer le trafic de destination (ip.addr == <ip source/destination>)

Snapshot affichant les paquets mis en surbrillance dans Wireshark
 
  1. Prenez note des adresses mac utilisées à l’étape précédente; Ils doivent correspondre à ceux de l’interface et firewall de l’interface GP tunnel. Vous pouvez vérifier cela en consultant le fichier « ipconfig.txt » dans le dossier journal collecté à l’étape GP 5
Ethernet adapter Ethernet 3:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : PANGP Virtual Ethernet Adapter
   Physical Address. . . . . . . . . : 02-50-41-00-00-01
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : <GP IP>(Preferred)
 
  1. Dans le même GP dossier journal, recherchez le fichier journal nicdetails.txt  » et vérifiez si la section « Transfert » affiche « activé » sous le ou les GP adaptateurs locaux, comme indiqué ci-dessous :
Remarque : La convention d’affectation de noms doit être la même à partir de la sortie de l’invite de commandes répertoriée à l’étape 3.
Interface Ethernet 3 Parameters
----------------------------------------------
IfLuid                             : ethernet_32773
IfIndex                            : 2
State                              : connected
Metric                             : 1
Link MTU                           : 1400 bytes
Reachable Time                     : 42500 ms
Base Reachable Time                : 30000 ms
Retransmission Interval            : 1000 ms
DAD Transmits                      : 3
Site Prefix Length                 : 0
Site Id                            : 1
Forwarding                         : enabled
​​​​​​
  1. Si tel est le cas, vous devez désactiver le service Routage et accès distant Microsoft pour permettre au comportement de tunneling fractionné de fonctionner correctement. Vous pouvez trouver plus d’informations concernant cette fonctionnalité dans le document Microsoft suivant


 

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004ORyCAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language